本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本节中的信息可以帮助您解决 DNSSEC 签名问题,包括启用、禁用和密钥签名密钥 ()。KSKs
- 启用 DNSSEC
在开始启用 DNSSEC 签名之前,请确保已阅读 在 Amazon Route 53 中配置 DNSSEC 签名 中的先决条件。
- 禁用 DNSSEC
为了安全地禁用 DNSSEC,Route 53 将检查目标区域是否在信任链中。它检查目标区域的父区域是否有目标区域的任何 NS 记录和 DS 记录。如果目标区域无法公开解析,例如,在查询 NS 和 DS 时获得 SERVFAIL 响应,则 Route 53 无法确定禁用 DNSSEC 是否安全。您可以联系父区域来解决这些问题,并稍后重试禁用 DNSSEC。
- KSK 状态为 Action needed(需要操作)
当 Route 53 DNSSEC 无法访问相应的(由于权限更改或
ACTION_NEEDED删除)时,KSK 可以将其KeySigningKey状态更改为 “需要操作” AWS KMS key (或 AWS KMS key 处于状态)。如果 KSK 的状态是 Action needed(需要操作),这意味着最终会对使用 DNSSEC 验证解析程序的客户端造成区域中断,并且您必须迅速采取行动,防止生产区域变得无法解析。
要纠正此问题,请确保您的 KSK 所基于的客户托管式密钥已启用且具有正确的权限。有关所需权限的更多信息,请参阅 DNSSEC 签名所需的 Route 53 客户托管密钥权限。
修复 KSK 后,使用控制台或(如所述)再次将其激活。 AWS CLI步骤 2:启用 DNSSEC 签名并创建 KSK
为了防止将来出现此问题,请考虑按照中的建议添加一个 Amazon CloudWatch 指标来跟踪 KSK 的状态。在 Amazon Route 53 中配置 DNSSEC 签名
- KSK 状态为 Internal failure(内部故障)
-
当 KSK 的状态为内部故障(或处于KeySigningKey状态)时,
INTERNAL_FAILURE在问题得到解决之前,您无法使用任何其他 DNSSEC 实体。在使用 DNSSEC 签名(包括使用此 KSK 或其它 KSK)之前,您必须采取措施。要更正问题,请重试激活或停用 KSK。
要在使用时更正问题 APIs,请尝试启用签名 (EnableHostedZoneDNSSEC) 或禁用签名 (DisableHostedZoneD NSSEC)。
重要的是要及时纠正 Internal failure(内部故障)这一问题。在解决问题之前,您无法对托管区域进行任何其它更改,除了为修复 Internal failure(内部故障)所进行的操作。
